ソニックウォールTZ170の設定

SonicWALL TZ170の設定についての質問です。

以下の環境を構築したいのですが、
うまくいきません。

[B-Flets]
　│
[YAMAHA RT57i]（VPN接続トンネリングあり）
　│(WAN)
★[SonicWALL]　(OPT)－　公開サーバー
　│(LAN)
[社内LAN]

SonicWALLを導入する前には、
公開サーバーも、社内LAN上にあり、問題なく動作しています。

IP8にて、ルータ・公開サーバー・ソニックウォールそれぞれにグローバルアドレスを付与しています。

（VPN接続先はIP1です。トンネリングにて社内LANではローカルIPにて接続が必要です。）

SonicWALLの設定を・・・
・NATありに設定すると、VPN接続が通らない。
・NATなし（一番上の設定）にすると、公開サーバーが見れません。


設定の経験のあるかた、適切な設定方法を教えていただけませんか？

No.1 回答者： hetarepyon 回答日時： 2005/11/03 12:08

> ・NATありに設定すると、VPN接続が通らない。

これですが

1. [社内LAN] -> 外部の VPN サーバ
2. [YAMAHA RT57i] -> 対向側の VPN ネットワーク

のいずれの話でしょうか？

1. なら SonicWall の設定でご利用の VPN に応じたフィルタルールの設定が必要でしょう。

2. なら YAMAHA RT57i の VPN 設定も併せて変更しないといけないのではないでしょうか。SonicWall を入れる前は RT57i で NAT していませんでしたか？

ということで補足いただけると嬉しいですね。

この回答への補足

返答有難うございます。
情報が不足していましたね。

ＶＰＮ接続が通らない。・・・ですが、

[YAMAHA RT57i]
　│(WAN)
[SonicWALL]
の間がローカルＩＰで繋がりません。

つまりは、
外のＶＰＮからは、[YAMAHA RT57i]まで繋がりますが、
[社内LAN]に接続できません。
また、[社内LAN]からも外部ＶＰＮサーバーに繋がりません。

上記で、現状は伝わりますか？

補足日時：2005/11/04 09:15

No.2 回答者： hetarepyon 回答日時： 2005/11/05 21:30

＃1 です。

補足、確認しました。

> 外のＶＰＮからは、[YAMAHA RT57i]まで繋がりますが、
> [社内LAN]に接続できません。
> また、[社内LAN]からも外部ＶＰＮサーバーに繋がり
> ません。

えっと...

VPN 対向側(ネットA - プライベート)
　　|
対向側 VPN ルータ
　　|
（インターネット）
　　|
YAMAHA RT57i
　　|
Sonic Wall（→ NAT）－ 公開サーバ（DMZ）
　　|
社内 LAN(ネットB - プライベート)

で正しいですか？

　正しいと仮定すると、RT57i の WAN/LAN インターフェース双方にグローバル IP を設定し、かつ SonicWall で NAT する、というのはかなり難しいと思います。

　RT57i の IPsec を使用しているのだと思いますが、その場合、

ネットA（プライベート IP）
　　|
VPN ルータ
　　|
（インターネット）
　　|
YAMAHA RT57i = VPN ルータ
　　|
ネットB（プライベート IP）

という構成が一般的ですよね？ ここで SonicWall を入れるのならば『NAT なし』にする方が容易でしょう。

この場合に「NATなし（一番上の設定）にすると、公開サーバーが見れません。」とのことなのですが、これは

1. ホスト名で見られない（IP 指定では見られる）
2. IP アドレスを指定しても見られない

のいずれでしょうか？


ただ、個人的にはこの構成なら RT57i をはずして SonicWall TZ170 で NAT & DMZ を構成し、VPN も喋らせた方がシンプルな気がします。それは難しいのでしょうか？

この回答への補足

回答ありがとうございます。

構成に関しては、ご推察のとおりです。

「ＮＡＴなし（一番上の設定）」にした場合に公開サーバーに繋がらないというのは、
外部からは、ホスト名・ＩＰアドレス共に見れないということです。

これは、公開サーバーがＤＮＳサーバーをかねているためでしょうね？

ＲＴ57ｉをはずすということですが、プロバイダ接続も兼ねていますので、
ＲＴ57ｉでのＶＰＮをはずして、SonicWallでＶＰＮを設定しなおしたほうが良さそうですね。


※ＲＴ５７ｉのＶＰＮを外さなかったのは、SonicWall設定に失敗しても、
ネットワークからはずせばすぐに戻せるという、安直な考えがあったためでした。
また、ＶＰＮ接続先（当社営業所）のルータもＲＴ５７ｉで設定しており、
別機種との接続の経験がない・作業時に営業所側にルータを設定できる人がいない等も、
ＶＰＮを外すに踏み切れなかった原因です。

補足日時：2005/11/06 09:27

No.3 ベストアンサー 回答者： hetarepyon 回答日時： 2005/11/06 10:52

#1 です。

度々の補足、ありがとうございます。

> これは、公開サーバーがＤＮＳサーバーをかねているためでしょうね？

うーん、後は設定の詳細を見ないと何とも... ですね。ごめんなさい。ただ、IP 指定でもアクセスできないということはフィルタ設定の可能性がありますので、RT57i と SonicWall 双方の設定を今一度確認すると良いでしょう。

なお参考 URL を見るかぎり RT57i でも DMZ 機能はあるようですから、SonicWall にこだわらない方が楽は楽なんですが... RT57i & SonicWall 双方を使用するというのはファイアウォール 2台構成ですから、複雑さ倍増なんですよね ^^;)。

参考URL：http://netvolante.jp/products/rt57i/